校園無(wú)線(xiàn)網(wǎng)安全技術(shù)研究

摘要：隨著網(wǎng)絡(luò)信息化的快速發(fā)展，各大校園內(nèi)的無(wú)線(xiàn)網(wǎng)絡(luò)也隨之蓬勃發(fā)展，無(wú)線(xiàn)網(wǎng)絡(luò)變成了校園網(wǎng)解決方案的重要組成部分，但同時(shí)校園網(wǎng)的安全形勢(shì)卻是不容樂(lè)觀(guān)，其安全威脅不僅來(lái)自校內(nèi)，也有來(lái)自校外的。本文簡(jiǎn)單介紹了校園無(wú)線(xiàn)網(wǎng)的現(xiàn)狀，并針對(duì)現(xiàn)有的校園無(wú)限網(wǎng)絡(luò)的安全性方面提出了一些解決方案。

關(guān)鍵詞：無(wú)線(xiàn)網(wǎng)絡(luò)；安全；技術(shù)研究

中圖分類(lèi)號(hào)：TP393.09 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 (2012) 10-0000-02

一、引言

21世紀(jì)是網(wǎng)絡(luò)的時(shí)代，現(xiàn)在人們?cè)诤芏喾矫嬖絹?lái)越離不開(kāi)網(wǎng)絡(luò)，然而傳統(tǒng)的有線(xiàn)網(wǎng)絡(luò)連接越來(lái)越滿(mǎn)足不了人們的需求，所以無(wú)線(xiàn)網(wǎng)絡(luò)作為一種有效的信息產(chǎn)業(yè)解決方案，越來(lái)越得到人們的重視。在校園，教師和學(xué)生的流動(dòng)性是非常強(qiáng)的，就連很多高校的教學(xué)場(chǎng)合也并不是完全固定的，而且現(xiàn)階段隨著筆記本電腦的普及還有Intemet接入需求的增長(zhǎng)，無(wú)論是對(duì)于老師還是對(duì)于學(xué)生來(lái)說(shuō)都非常希望能在校園各個(gè)地方可以上網(wǎng)，這樣既可以滿(mǎn)足老師隨時(shí)可以進(jìn)行網(wǎng)上教學(xué)互動(dòng)活動(dòng)，也可以滿(mǎn)足學(xué)生可以方便上網(wǎng)以便查閱資料。但在得到便利的同時(shí)，由于無(wú)線(xiàn)網(wǎng)絡(luò)本身有組網(wǎng)簡(jiǎn)單、安裝容易、移動(dòng)方便等諸多特點(diǎn)，同時(shí)也存在著一些安全隱患，比如信號(hào)的開(kāi)放性和數(shù)據(jù)傳播范圍很難控制等這些特點(diǎn)。使用OmniPeek等抓包工具分析后，能夠比較容易的免費(fèi)上網(wǎng)甚至入侵學(xué)校的服務(wù)器[1]。2008 WPA加密首先已經(jīng)被國(guó)外人員率先破解， Elcomsoft 推出ElcomSoft DistributedPassword Recovery分布式密碼暴力破解工具，能夠利用Nvidia顯卡使WPA和WPA2無(wú)線(xiàn)密鑰破解速度提高100倍左右。因此，我們要管理好校園無(wú)線(xiàn)網(wǎng)的安全性。

二、校園無(wú)線(xiàn)網(wǎng)絡(luò)研究現(xiàn)狀分析

2002年，國(guó)內(nèi)高校的無(wú)線(xiàn)網(wǎng)絡(luò)開(kāi)始建設(shè)，北京大學(xué)對(duì)校本部進(jìn)行了大范圍的無(wú)線(xiàn)網(wǎng)絡(luò)覆蓋，同時(shí)上海交大、北航、清華大學(xué)、北醫(yī)、復(fù)旦等大學(xué)也相繼實(shí)現(xiàn)了大范圍無(wú)線(xiàn)局域網(wǎng)的覆蓋。并且經(jīng)過(guò)近幾年的努力，國(guó)內(nèi)校園無(wú)線(xiàn)網(wǎng)已經(jīng)得到了大量的應(yīng)用，現(xiàn)如今的校園越來(lái)越多的教師和學(xué)生上網(wǎng)的重要手段逐漸由原來(lái)的有限網(wǎng)絡(luò)變成無(wú)線(xiàn)網(wǎng)絡(luò)，就連平時(shí)的教學(xué)活動(dòng)也慢慢開(kāi)始使用無(wú)線(xiàn)網(wǎng)絡(luò)?？梢钥闯?，無(wú)線(xiàn)網(wǎng)絡(luò)已經(jīng)變成了師生隨時(shí)隨地獲取網(wǎng)絡(luò)資源的重要保障。

現(xiàn)如今無(wú)線(xiàn)網(wǎng)絡(luò)技術(shù)相對(duì)來(lái)說(shuō)比較成熟，各個(gè)學(xué)校的筆記本電腦及各種手持無(wú)線(xiàn)設(shè)備也是越來(lái)越多，所以就迫切需要一種功能強(qiáng)大的網(wǎng)絡(luò)來(lái)支持，無(wú)線(xiàn)局域網(wǎng)(WirelessLAN WLAN) 比傳統(tǒng)有線(xiàn)局域網(wǎng)(LAN)有優(yōu)勢(shì)，像建網(wǎng)較靈活、可擴(kuò)展性比較好 支持終端的移動(dòng)性，最主要的是它有支持無(wú)法或很難架設(shè)網(wǎng)線(xiàn)的應(yīng)用。無(wú)線(xiàn)局域網(wǎng)(WLAN)不僅可以應(yīng)用于學(xué)校，也可以在單位，公司內(nèi)部和家用網(wǎng)絡(luò)場(chǎng)所應(yīng)用，雖然無(wú)線(xiàn)局域網(wǎng)(WLAN)具有很多優(yōu)點(diǎn)但也正是由于無(wú)線(xiàn)局域網(wǎng)(WLAN)的傳輸媒介是無(wú)線(xiàn)電波，所以它發(fā)射的數(shù)據(jù)有可能會(huì)被預(yù)期范圍之外的接收設(shè)備所利用，讓入侵者有機(jī)可乘，他們可以利用由無(wú)線(xiàn)局域網(wǎng)(WLAN)廣播的信號(hào)對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，這也是無(wú)線(xiàn)網(wǎng)絡(luò)的一個(gè)缺點(diǎn)，它不如有限網(wǎng)絡(luò)好保護(hù)，這就造成了校園無(wú)線(xiàn)局域網(wǎng)(WLAN)很多不安全因素的出現(xiàn)，比較常見(jiàn)的無(wú)線(xiàn)網(wǎng)線(xiàn)絡(luò)攻擊有非法的AP經(jīng)授權(quán)使用服務(wù)、地址欺騙和會(huì)話(huà)攔截、流量分析與流量偵聽(tīng)和高級(jí)入侵等 [2]。

無(wú)線(xiàn)網(wǎng)絡(luò)提供的較常用的安全機(jī)制包括基MAC地址的認(rèn)證、共享密鑰認(rèn)證和802.1x認(rèn)證。但是很多的校園無(wú)線(xiàn)網(wǎng)絡(luò)的無(wú)線(xiàn)接入點(diǎn)并沒(méi)有考慮無(wú)線(xiàn)接入的安全問(wèn)題，就連基于MAC地址的認(rèn)證和共享密鑰認(rèn)證都也還沒(méi)有設(shè)置，那802.1 x認(rèn)證的就更不用說(shuō)了。如果你用筆記本電腦在校園的某個(gè)角落上網(wǎng)，可以搜索到很多的無(wú)線(xiàn)接入點(diǎn)，這些無(wú)線(xiàn)接入點(diǎn)沒(méi)有太多的安全防范措施，可以說(shuō)，這些安全性差的無(wú)線(xiàn)接入點(diǎn)能非常方便的接入，如果讓一些不明身份的人進(jìn)入校園網(wǎng)的話(huà)可能會(huì)對(duì)校園網(wǎng)造成威脅。

三、校園無(wú)線(xiàn)網(wǎng)絡(luò)的安全防護(hù)策略

安全問(wèn)題一直是制約無(wú)線(xiàn)局域網(wǎng)技術(shù)的推廣的關(guān)鍵因素之一，越來(lái)多的決策者認(rèn)為安全問(wèn)題是影響他們做出無(wú)線(xiàn)局域網(wǎng)部署決定的首要因素。為了能進(jìn)一步加強(qiáng)校園無(wú)線(xiàn)網(wǎng)的安全，確保師生能安全的使用無(wú)線(xiàn)網(wǎng)，我們可以采取下面幾種安全防護(hù)策略來(lái)進(jìn)一步提高校園無(wú)線(xiàn)網(wǎng)絡(luò)的安全性。

（一）加強(qiáng)控制校園無(wú)線(xiàn)網(wǎng)絡(luò)信號(hào)的覆蓋范圍。為了有效的來(lái)保護(hù)校園無(wú)線(xiàn)網(wǎng)絡(luò)的安全，我們一定要更合理的放置訪(fǎng)問(wèn)點(diǎn)的天線(xiàn)，將校園無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)嚴(yán)格控制在校園范圍內(nèi)，來(lái)更好的減少覆蓋區(qū)以外的范圍傳輸，用可移動(dòng)的無(wú)線(xiàn)設(shè)備來(lái)準(zhǔn)確的勘測(cè)信號(hào)覆蓋情況也是很有必要的。

（二）采用MAC過(guò)濾技術(shù)，AC過(guò)濾技術(shù)是指在路由設(shè)置中只允許特定的 MAC 網(wǎng)卡訪(fǎng)問(wèn)路由的一種方法，它可以直接拒絕由其他MAC 地址的設(shè)備所發(fā)來(lái)的連接請(qǐng)求，在一定程度上防止了外部的非法訪(fǎng)問(wèn)。禁止使用動(dòng)態(tài)主機(jī)配置協(xié)議，使用這項(xiàng)措施可以提高無(wú)線(xiàn)網(wǎng)絡(luò)的安全，可以有效的增加入侵的難度。

（三）對(duì)不同的群體采取不同的認(rèn)證方法。充分考慮到校園群體的特殊性，為了有效保障校園無(wú)線(xiàn)網(wǎng)的安全，可以對(duì)不同的群體采用不同的認(rèn)證方法。校園網(wǎng)主要分為兩類(lèi)不同的用戶(hù)，一類(lèi)是校內(nèi)用戶(hù)，另一類(lèi)是來(lái)訪(fǎng)用戶(hù)。校內(nèi)的用戶(hù)主要是學(xué)校的教師和學(xué)生。為了能更好的工作和學(xué)習(xí)，他們要求能夠可以隨時(shí)隨地接入無(wú)線(xiàn)網(wǎng)絡(luò)，能夠訪(fǎng)問(wèn)校園網(wǎng)內(nèi)的資源和訪(fǎng)問(wèn)Internet。這些用戶(hù)的數(shù)據(jù)，比如科研成果 、研究資料和論文等的安全性要求非常高。對(duì)于這種類(lèi)型的用戶(hù)，我們可以使用 802.1x認(rèn)證方式對(duì)這類(lèi)用戶(hù)來(lái)進(jìn)行認(rèn)證。來(lái)訪(fǎng)的用戶(hù)主要是來(lái)學(xué)校參觀(guān)、培訓(xùn)或者進(jìn)行學(xué)術(shù)交流的一些用戶(hù)[3]。這類(lèi)用戶(hù)對(duì)網(wǎng)絡(luò)安全的需求并不是很高，對(duì)他們來(lái)說(shuō)最重要的就是可以非常方便并快速地接入Intemet，以便瀏覽相關(guān)網(wǎng)站和收發(fā)郵件等。針對(duì)這類(lèi)的用戶(hù)，可采用DHCP+強(qiáng)制Portal認(rèn)證的方式來(lái)接入校園無(wú)線(xiàn)網(wǎng)。

（四）提高校園無(wú)線(xiàn)網(wǎng)絡(luò)技術(shù)水平。首先，校園網(wǎng)應(yīng)先要選擇用企業(yè)級(jí)AP或WLAN Gateway。企業(yè)級(jí)AP可以把安全策略推到AP進(jìn)而達(dá)Client，并應(yīng)該搭配802.1x/EAP。如果要用低階AP搭配Gateway，那么就只能依靠Gateway的VPN，二層信息肯定會(huì)暴露。其次，為了能有效隨時(shí)發(fā)現(xiàn)未授權(quán)的AP，應(yīng)該定期的開(kāi)展AP搜尋，并且要主動(dòng)的來(lái)尋找和移除此類(lèi)AP，這樣可以有助于加強(qiáng)校園的安全性。

（五）提高加密技術(shù)水平。加密技術(shù)是網(wǎng)絡(luò)安全的一項(xiàng)重要技術(shù)。IEEE為無(wú)線(xiàn)局域網(wǎng)提供了三種安全性保護(hù)協(xié)議:WEP、TKIP、CCMP。主要的方法有無(wú)線(xiàn)局域網(wǎng)EAP策略、無(wú)線(xiàn)局域網(wǎng)鑒別與保密基礎(chǔ)架構(gòu)WAPI以及IEEE802.11標(biāo)準(zhǔn)中的WPA等等。其中WAPI是我國(guó)自主研發(fā)的、擁有自主知識(shí)產(chǎn)權(quán)的無(wú)線(xiàn)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)而TKIP主要進(jìn)行無(wú)線(xiàn)網(wǎng)絡(luò)產(chǎn)品的互通性測(cè)試。

四、總結(jié)

隨著信息技術(shù)的發(fā)展，這將進(jìn)一步推進(jìn)校園網(wǎng)內(nèi)無(wú)線(xiàn)網(wǎng)絡(luò)的建設(shè)。越來(lái)越多高校都已經(jīng)實(shí)現(xiàn)了整個(gè)校園的無(wú)線(xiàn)覆蓋范圍。但在建設(shè)無(wú)線(xiàn)網(wǎng)絡(luò)的同時(shí)，由于對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)的安全還不夠重視，對(duì)校園網(wǎng)無(wú)線(xiàn)網(wǎng)絡(luò)的安全考慮還不夠。我們應(yīng)該做好無(wú)線(xiàn)網(wǎng)的安全管理工作，確保無(wú)線(xiàn)網(wǎng)絡(luò)的安全性，并能更好地為師生以及社會(huì)服務(wù)。

參考文獻(xiàn)

[1]楊兵.WLAN無(wú)線(xiàn)局域網(wǎng)安全性分析與研究[D].昆明理工大學(xué)，2004

[2]楊軍.淺議無(wú)線(xiàn)校園網(wǎng)的安全接入[J].科技咨訊，2011，24:22

[3]林敏.陳少涌.無(wú)線(xiàn)校園網(wǎng)安全和融合是關(guān)鍵[J].中國(guó)教育網(wǎng)絡(luò)，2011，5:49-51